《国际内部审计专业实务标准》中第2100条标准的解释 相关标准：第2100条标准 工作性质 内部审计活动应当通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会（ISACA）指引——应用系统检查，文件G14。该信息系统审计指引由ISACA于2001年11月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异，ISACA不保证其准确性或支持这些改变。 本实务公告性质：内部审计师实施应用系统检查时应当考虑以下建议。本实务公告无意囊括与应用系统检查相关的综合性确认或咨询业务所需要的所有程序，仅推荐一系列高层次审计师责任，作为制定详细审计计划的补充。 1 首席审计执行官应当确定内部审计活动具备或者可以取得独立[1]并且胜任的审计资源，开展应用系统检查并评估相关的风险暴露。 审计计划的考虑 2 审计计划的一部分内容是充分了解组织的信息系统环境，便于内部审计师确定系统的规模和复杂程度，以及组织对信息系统的依赖程度。内部审计师应当了解组织的目的和业务目标，运用信息技术和信息系统的水平和方式，与组织的目的及其信息系统相关联的风险和披露情况。此外，还需要了解组织结构，包括主要信息系统人员和应用系统业务处理负责人的职权和责任。审计计划过程中还应当考虑业务领域的风险。 审计计划的主要目的是确定应用水平的风险。相关水平的风险影响所需要的审计证据的水平。系统层面和数据层面的应用水平风险包括以下内容： l 与缺乏系统操作能力相关的系统可获得性风险 l 与未经授权进入系统或取得数据相关的系统安全性风险 l 与处理数据不完整、不准确、不及时和未经授权相关的系统完整性风险 [1] 独立——指内部审计师未介入应用系统的开发、收购、运行或维护等工作。 l 在要求持续提供系统的可获得性、安全性和完整性的情况下，与无法更新系统相关的系统维护风险 l 与数据全面、完整、保密、准确、及时相关的数据风险 针对应用水平风险的应用控制可以采用系统内置的计算机化控制，或者手工实施的控制，或者两者结合的形式。例如计算机化文件核对（采购订单、发票和收货报告），核对和签署机打票据，由高级管理人员对特殊报告进行检查。 在选择信赖程序控制的情况下，应当考虑相关的总体信息技术控制以及与审计目标有关的控制。总体信息技术控制可以是一项单独的检查，主要包括：物理控制、系统层的安全、网络管理、数据备份以及应变计划。根据检查的控制目标，内部审计师可以不需要检查总体控制，例如，对应用系统进行评估用于收购的情况。 应用系统检查可以在一整套应用系统用于收购目的进行评估的时候开展，可以在系统投产之前（运行前）和投产之后（运行后）进行。运行前应用系统检查的涵盖范围包括应用水平的安全构造，执行安全措施的计划，系统和用户记录的充分性，实际或计划的用户接受测试的充分性。运行后应用系统检查的涵盖范围包括运行后的应用水平安全，如果存在数据和主文件信息从旧系统向新系统转换的情况，则包括系统转换的检查。 应用系统检查的目标和范围通常构成业务计划书的一部分，业务计划书的形式和内容可以有所不同，但应当包括： l 应用系统检查的目标和范围 l 实施检查的内部审计师 l 有关该项目内部审计师独立性的声明 l 检查开始的时间和整个时间计划 l 报告安排，包括结束会议安排 l 检查目标应当考虑符合7 COBIT 信息标准，并取得组织的同意。7 COBIT 信息标准包括下列内容： 信息的有效性、效率性、保密性、完整性、可获得性、遵循情况和可靠性。 如果承担审计任务的内部审计师之前参与了应用系统的开发、收购、运行和维护工作，那么内部审计师的独立性可能会受到损害。内部审计师应当参照相关指南处理这类情况。 实施审计工作 3 a) 记录业务流程 收集到的信息应当包括系统计算机化方面和手工的两方面内容。重点关注对审计目标较为重要的数据输入（电子或手工）、处理、存储和输出。内部审计师可能会发现依靠业务流程和记录交易过程所采用的技术实际上不易操作。在这种情况下，内部审计师应当编制高层数据流程表或叙述材料，或者在提供的前提下，采用系统说明。 同时需要予以考虑的是记录与其他系统的应用接口，内部审计师应当通过实施某些程序，如穿行测试，来确认上述记录。 b) 识别和测试应用系统控制 内部审计师需要识别用来降低系统应用风险的特定控制，获得充分的审计证据，从而确保控制按照预期运行。这项工作可以通过一系列程序完成，例如询问和观察、检查记录、对测试程序化控制的应用系统控制进行测试（可以考虑运用计算机辅助审计技术）。 测试的性质、时间和范围应当基于所检查领域的风险水平和审计目标。在缺乏强大的总体信息技术控制时，内部审计师可以就这一缺陷对于计算机化应用控制的可靠性的影响进行评估，如果信息系统审计师发现计算机化应用控制的重大缺陷，在可能的情况下，应当从手工进行的处理控制中获取保证。 计算机化控制的有效性依赖于强大的总体信息技术控制。因此，如果总体信息技术控制没有经过检查，则对应用控制的信赖会受到严重的限制，内部审计师应当考虑其他替代程序。 报告 4 通报应用系统业务的结果时应当清楚地描述这项业务的性质和任何限制情形以及信息使用者应当知悉的其他因素。内部审计师应当在报告中指出加强控制方面的适当建议。 应用系统检查过程中发现的由于缺乏控制或未能遵循控制所造成的缺陷，应当提请业务过程负责人和负责应用支持的信息系统管理部门的关注。在应用系统检查过程中发现的缺陷或薄弱环节被认为严重或重要的情况下，应当建议适当的管理层立即采取纠正措施。由于有效的计算机化控制依赖于总体信息技术控制，因此这一领域的缺陷也应当予以报告。未对总体计算机化控制进行检查的事实也应当反映在报告中。